Bundestag-Netz: Abgeordneten-Smartphones als Sicherheitsrisiko
Seit dem Hacker-Angriff auf das Parlamentsnetz im Sommer 2015 hat der Bundestag nachgerüstet. Doch immer noch gebe es etliche Sicherheitslücken in der IT-Infrastruktur, berichten die Süddeutsche Zeitung und der NDR. Schuld daran sind demnach etwa die Tablets und Smartphones der Abgeordneten.
Das geht aus einem als geheim eingestuften Bericht hervor, den die Bundestagsverwaltung bei der IT-Sicherheitsfirma Secunet in Auftrag gegeben hatte. Fertig gestellt wurde die 101 Seiten umfassende Analyse im Februar.
Programme auf Smartphones, Tablets und lokalen Rechnern werden nicht überprüft
Ein Problem ist demnach die hohe Anzahl an Smartphones und Tablets, die Abgeordnete und ihre Mitarbeiter nutzen. Von einem „unkontrollierten Einsatz von Endgeräten“ ist demnach in dem Bericht die Rede, da diese nicht zentral verwaltet werden. Ebenso wenig werde überprüft, welche Apps die Abgeordneten installieren, was letztlich ein Einfalltor für Angreifer sein könnte.
Dasselbe gilt für lokale Rechner, bei diesen werde ebenfalls nicht kontrolliert, welche Programme laufen. Hinzu kommt noch, dass Abgeordnete die Rechner manchmal privat einsetzen. Ein Laptop könnten Angreifer dann etwa über einen USB-Stick infizieren, um sich so Zugang zum Bundestag-Netz zu verschaffen. Ohnehin würde die Nutzung von USB-Anschlüssen im Bundestag derzeit nicht beschränkt werden, ebenso gebe es im Parlamentsgebäude offen zugängliche Netzwerkanschlüsse, die Angreifer missbrauchen könnten.
Komplett abriegeln ist beim Bundestag-Netz aber schwierig. Zählt man Journalisten, Lobbyisten und Handwerker mit, sind es laut Bundestagsverwaltung insgesamt rund 15.000 Menschen, die Zutritt zu den Gebäuden des Parlaments haben.
Bundestag bewilligt neue Firewall für 470.000 Euro
An einigen Punkten will die Bundestagsverwaltung aber schon nachrüsten. Das gilt etwa für eine interne Firewall, für die der Ältestenrat bereits 470.000 Euro bewilligt hat. Die soll die internen Netzwerke voneinander trennen. Wenn Angreifer also in die Systeme einer Fraktion eingedrungen sind, könnten sie damit nicht mehr ohne Weiteres auf das Netzwerk zugreifen, dass die Bundestagsverwaltung betreibt.
So sollen die Angreifer im Sommer 2015 vorgegangen sein: Zunächst wurden Rechner bei einigen Fraktionen des Bundestags infiziert, von dort aus arbeiteten sie sich dann vor, bis sie Zugriff auf das komplette Bundestag-Netz hatten. Am Ende konnten die Angreifer dann rund 16 GB an Daten erbeuten.
Zwischen Sicherheit und Nutzbarkeit
Secunet und die Bundestagsverwaltung wollten sich auf Anfrage der Süddeutschen Zeitung nicht zu dem Bericht äußern. Laut Linus Neumann, Sprecher vom Chaos Computer Club (CCC), ist der Umgang mit den erkannten Schwachstellen nicht so einfach. Wenig Verständnis hat er etwa dafür, dass die Bundestagsverwaltung nicht prüft, welche Software auf den Rechnern in den Abgeordnetenbüros läuft. Das wäre „nachlässig“, gerade nach dem Hacker-Angriff im Sommer 2015. Wer sich schon einmal „die Finger verbrannt hat“, müsse ausreichende Sicherheitsmaßnahmen implementieren.
Bei anderen Punkten zeigt er sich allerdings nachsichtiger. „Wenn man davon ausgeht, dass hier Menschen auch arbeiten müssen, dann sind das eher geringe Mängel“, so Neumann zur Süddeutschen Zeitung. Würde man es mit den Sicherheitsmaßnahmen übertreiben, werde es auch für die Abgeordneten und Mitarbeiter komplizierter – was letztlich dazu führen könnte, dass diese auf private Computer und E-Mail-Dienste ausweichen.
Angst vor politischen Leaks
Der Bericht lässt sich als Vorzeichen auf die Bundestagswahl 2017 verstehen, denn die Abgeordneten befürchten politische Leaks. Angreifer verschaffen sich dabei Zugang zu Systemen der Parteien und Behörden, um sensible Daten zu erbeuten, die dann im Verlauf des Wahlkampfs veröffentlicht werden. Als warnendes Beispiel dient dabei der Präsidentschaftswahlkampf in den USA.